menu

Viktig informasjon til våre kunder angående Ransomware bølgen (Wannacry)

Viktig informasjon til våre kunder angående Ransomware bølgen (Wannacry)

Informasjon om skadevaren og hvordan du kan beskytte deg

Viktig informasjon til våre kunder angående Ransomware bølgen - Wannacry.

En bølge med Ransomware sprer seg som ild i tørt gress over Internett. Her kommer anbefalinger for å beskytte seg. Det anbefales å se på disse anbefalingene så fort som mulig!

Infeksjonsvektor ser ut til å være primær spredning på åpen port 445 til Internett, og videre spredning lokalt på nettverket gjennom samme portene (SMB exploit, også kalt Eternal Blue). SMB Exploiten utnytter sårbarheten som ble patchet av MS17-010. Infeksjonsvektor antas å endre seg til å bruke phishing meget snart, hvor videre spredning på intern nettverket skjer via exploit. 

Det vi har sett av denne "utpressingskampanjen" så langt skiller den fra mange andre kampanjer ved at den spres som en orm og at det benyttes faste bitcoin kontoer.  Skadevaren spres ikke via epost eller linker, men utnytter en Microsoft sårbarhet og sannsynligheten for at offeret får tilbake sine filer etter å ha betalt utpresserne er liten da de ikke kan vite hvem som har foretatt en "innbetaling".  Du kan følge innbetalinger i denne saken her:  https://twitter.com/actual_ransom    Dette innebærer at rådet om ikke å betale utpresserne er særlig riktig for denne kampanjen.

Her følger noen tips for å håndtere situasjonen:

Preparation / Forberedelser

  • Patch MS17-010
  • Disable SMBv1
  • Disable kjøring av Word macroer fra Internett / evt. fjern mulighet å kjøre Word macroer som ikke er signert.
  • Disable eksekvering av .JS og .HTA filer
  • Segmenter vekk SMB fra risikofylte klienter.
  • Klienter som mangler patch MS17-010 må IKKE få lov å kommunisere inn mot nettvekret. 
  • Sinkhole:  hxxp://www[.]iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com . Dersom denne er ONLINE så vil ikke ransomware kjøre (kill switch)
  • Blokker TOR nettverket

Identification / Identifisering av hendelser

  • Filer blir kryptert
  • Filer har fått ny extnesion .wncry
  • Bakgrunnsbilde er endret til et bilde som ber om penger for å få tilbake filer.
  • Volume Shadow Copies er disablet

Hvilke andre maskiner kan den initielle maskinen nå som er potensiet sårbar for MS17-010? Disse er i stor risiko for også å bli kompromittert og da begynne å kryptere filer.

Dersom man ser at filer blir kryptert, men man ikke finner ut hvem som står for dette, så anbefales følgende tiltak:

  • Se på eieren av filene. Avslører disse brukernavnet til den som står for krypteringen?
  • Om du kan aktivere et søk på hjemmemappene til brukerne så let etter krypterte filer av typen .wncry eller filer som har høy entropi, noe som tyder på krypterte filer.
  • Hvem har Volume Shadow Copies deaktivert?
  • På filserver, hvem har filer åpne? Bruk kommandonen «net file».
  • Bruk IOC’s (Indicators of Compromise) listen lenger nede i dokumentet for å søke etter innbrudd.

Containment / Begrensening av skade / Stopp blødningen

Det er viktig å bli kvitt den som står for krypteringen, patient zero, så fort det lar seg gjøre, og også tilhørende infiserte maskiner. Disse kan isoleres f.eks. gjennom brannmur, VLAN eller rett og slett ved å trekke ut nettverkskabel på dem. Naturligvis mange andre måter å gjøre dette, men poenget er å fjerne klientene som står for infisering fra nettverket, slik at vi på den måten kan få hodet over vannet.

Filene som er kryptert må du ikke forvente å få tilbake uten å hente tilbake filer fra backup. Krypteringen ser ut til å være av det sterke kalibler, noe som ikke er enkelt å bryte for å få tilbake filer.

Indicators of Compromise (Ting å følge med på)

OTX (Open Threat Exchange) indikatorer: https://otx.alienvault.com/pulse/5915db384da2585b4feaf2f6/

NSOC følger med på mange av disse indikatorene for våre kunder, og sikrer varsling og respons.

Under følger en liste over potensielle indikatorer:       

 

Chris Dale på TV2 nyhetskanalen 14.05.17

Kilde: TV2

Oslo

Strandgata 19

0152 Oslo

Bergen

Skuteviksboder 13

5035 Bergen

Stavanger

Koppholen 6

4313 Sandnes

Kristiansand

Kjøita 18

4630 Kristiansand

Grimstad

Bark Silas vei 5

4876 Grimstad